4.2 Модель распространения прав доступа take-grant Основные положения модели

Модель распространения прав доступа Take-Grant, предложенная в 1976 г. [8], используется для анализа систем дискреционного разграничения доступа, в первую очередь для анализа путей распространения прав доступа в таких системах. В качестве основных элементов модели используются граф доступов и правила его преобразования. Цель модели-дать ответ на вопрос о возможности получения прав доступа субъектом системы на объект в состоянии, описываемом графом доступов. В настоящее время модель Take-Grant получила продолжение как расширенная модель Take-Grant [4], в которой рассматриваются пути возникновения информационных потоков в системах с дискреционным разграничением доступа.

Перейдем к формальному описанию модели Take-Grant, которое приведем по [1] и [З]. Обозначим: О-множество объектов (например, файлов или сегментов памяти); S О-множество активных объектов-субъектов (например, пользователей или процессов); R={r₁,r₂,...,r_m} {t,g}-множество прав доступа, где t (take)- право брать права доступа, g (grant) - право давать права доступа; G = (S, О, E)- конечный помеченный ориентированный граф без петель, представляющий текущие доступы в системе; множества S, О соответствуют вершинам графа, которые обозначим: - объекты (элементы множества O\S); • - субъекты (элементы множества S); элементы множества E OxOxR представляют дуги графа, помеченные непустыми подмножествами из множества прав доступа R.

Состояние системы описывается его графом доступов. Переход системы из состояния в состояние определяется операциями или правилами преобразования графа доступов. Преобразование графа G в граф G' в результате выполнения правила ор обозначим через G├_opG'.

В классической модели Take-Grant правило преобразования графа может быть одним из четырех, перечисленных ниже.

1. Правило "Брать"-take(а,х,у,z). Пусть х S, у, z О- различные вершины графа G, β R, α β. Правило определяет порядок получения нового графа доступов G' из графа G (рис. 4.1).

Рис. 4.1. Субъект х берет у объекта y права α β на объект z

2. Правило "Давать"-grant(а,х,у,z). Пусть х S, у, z О - различные вершины графа G, β R, α β. Правило определяет порядок получения нового графа G' из графа G (рис. 4.2).

Рис. 4.2. Субъект х дает объекту у права α β на объект z

3. Правило "Создать"-create(β,x,y). Пусть х S,, β R, β≠Ø Правило определяет порядок получения нового графа G' из графа G; у О-новый объект или субъект (рис. 4.3).

Рис. 4.3. Субъект х создает новый β-доступный объект у

4. Правило "Удалить"-remove(α,x,y). Пусть х S, у О -различные вершины графа G, β R, α β. Правило определяет порядок получения нового графа G' из графа G (рис. 4.4).

G G'

β α\β

• ├_{remove(α,x,y)} •

х у х у

Рис. 4.4. Субъект х удаляет права доступа α на объект у

Перечисленные правила "Брать", "Давать", "Создать", "Удалить" для отличия от правил расширенной модели Take-Grant будем называть де-юре правилами (табл. 4.2).

Таблица 4.2

Правила де-юре модели Take-Grant	Условия	Результирующее состояние системы G'=(S',O',E')
"Брать" take(a,x,y,z}	x S,{x,y,t) E,{y,z,β) E, x≠z, α β	S'=S, O'=O, E'=E {(x,z,α)}
"Давать" grant{a, х, у, г)	x S,(x,y,g) E, (x,z, β) E, у≠z, α β	S'=S, O'=O, E'=E {(y,z,α)}
"Создать" create (р,х, у)	x S.y O	O'=0 {y}, S'=S {y}, если у субъект, E'=E {(x,y,β)}
"Удалить" remove(a,x, у)	x S.y O, (x,z, β) E, α β	S'=S, O'=O, E'=E\{(x,y,α)}

В модели Take-Grant основное внимание уделяется определению условий, при которых в системе возможно распространение прав доступа определенным способом. Мы рассмотрим условия реализации:

• способа санкционированного получения прав доступа;

• способа похищения прав доступа.

Санкционированное получение прав доступа

Данный способ характеризуется тем, что при передаче прав доступа не накладываются ограничения на кооперацию субъектов системы, участвующих в этом процессе.

Пусть х, у О-различные объекты графа доступа G₀= (S₀,O₀,E₀), α R. Определим предикат "возможен достyn"(α,x,y,G₀), который будет истинным тогда и только тогда, когда существуют графы G₁=(S₁,O₁,E₁), ..., G_N=(S_N,O_N,E_N), такие, что:

G₀ ├_op1 G₁├_op2 ... ├_opN G_N и (x,y,α) E_N.

Определение 1. Говорят, что вершины графа доступов являются tg-связными или что они соединены tg-путем, если (без учета направления дуг) в графе между ними существует такой путь, что каждая дуга этого пути помечена t или g. Будем говорить, что вершины непосредственно tg-связны, если tg-путь между ними состоит из единственной дуги.

Теорема 1. Пусть G₀= (S₀,O₀,E₀) - граф доступов, содержащий только вершины-субъекты. Тогда предикат "возможен доступ" (α,x,y,G₀) истинен тогда и только тогда, когда выполняются следующие условия 1 и 2.

Условие 1. Существуют субъекты s₁,..., s_m, такие, что

(s_i,y,γ_i) Е₀ для i=1,...,m и α = γ₁ ... γ_m.

Условие 2. Субъект х соединен в графе G₀ tg-путем с каждым субъектом s_i для i=1, ...,m.

Доказательство. Проведем доказательство теоремы для m=1, так как схему доказательства для этого случая легко продолжить на случай m>1.

При m=1 условия 1 и 2 формулируются следующим образом:

Условие 1. Существует субъект s, такой, что справедливо (s,y,α) Е₀.

Условие 2. Субъекты х и s соединены tg-путем в графе G₀. Необходимость. Пусть истинен предикат "возможен доступ"(α,x,y,G₀). По определению истинности предиката существует последовательность графов доступов G₁=(S₁,O₁,E₁), ..., G_N=(S_N,O_N,E_N), такие, что:

G₀ ├_op1 G₁├_op2 ... ├_opN G_N и (x,y,α) E_N, при этом N является минимальным, т.е.(x,y,α) E_N-1

1. Докажем необходимость условий 1 и 2 индукцией по N.

При N=0 очевидно (x,y,α) E₀. Следовательно, условия 1, 2 выполнены.

Пусть N>0, и утверждение теоремы истинно для каждого k < N. Тогда (x,y,α) E₀ и дуга (x,y,α) появляется в графе доступов G_N в результате применения к графу G_N-1 некоторого правила ор_N. Очевидно, это не правила "Создать" или "Удалить". Если орN правило "Брать" ("Давать"), то по его определению s' S_N-1: (x,s',t) E_N-1((s',x,g) E_N-1), (s',y,α) E_N-1 и ор_N= take(α, х, s', y)(op_N = grant(α, s', х, у)).

Возможны два случая; s' S₀ и s' S₀.

Пусть s' S₀. Тогда истинен предикат "возможен доступ"(α,s',y,Go), при этом число преобразований графов меньше N. Следовательно, по предположению индукции s' S₀: (s,y,α) E₀ и s' соединен с s tg-путем в графе G₀. Кроме этого, истинен предикат "возможен доступ"(t,x,s',G₀) ("возможен доступ"(g,s',x,G₀)), при этом число преобразований графов меньше N. Следовательно, по предположению индукции s'' S₀: (s'',s',t) E₀ и s" соединен с х tg-путем в графе G₀((s",x,g) E₀ и s" соединен с s' tg-путем в графе G₀). Таким образом, s S₀: (s,y,α) E₀ и субъекты х, s соединены tg-путем в графе Go. Выполнение условий 1 и 2 для случая s' E₀ доказано.

Пусть s' So. Заметим, что число преобразований графов N минимально, поэтому новые субъекты создаются только в тех случаях, когда без этого невозможна передача прав доступа. Следовательно, преобразования графов отвечают следующим требованиям:

1) субъект-создатель берет на созданный субъект максимально необходимый набор прав {t,g};

2) каждый имеющийся в графе Go субъект не создает более одного субъекта;

3) созданный субъект не создает новых субъектов;

4) созданный субъект не использует правило "Брать" для получения прав доступа на другие субъекты.

Из перечисленных требований следует, что M<N-1, s" S₀:op_M=create ({g,t},s",s'), opN=take(α,x,s',y) и истинен предикат "возможен доступ" (α,s",y,G₀). Отсюда-истинен предикат "возможен доступ"(t,х, s',G_M}, а так как s"-единственный субъект в графе G_M, имеющий права на субъект s', то по предположению индукции s" соединен с х tg-путем в графе G₀. Из истинности предиката "возможен доступ" (α,s",y,G₀) и по предположению индукции s S₀: (s,y,α) E₀ и s", s соединены tg-путем в графе G₀. Следовательно, s S₀: (s,y,α) E₀ и х,s соединены tg-путем в графе G₀. Выполнение условий 1 и 2 для случая s' E₀ доказано. Индуктивный шаг доказан.

Достаточность. Пусть выполнены условия 1 и 2. Доказательство проведем индукцией по длине tg-пути, соединяющего субъекты х и s.

Пусть N = 0. Следовательно, x = s, (x,y,α) E₀ и предикат "возможен доступ"(α,x,y,G₀) истинен.

Пусть N=1, т.е. существует (s,y,α) E₀ и субъекты х, s непосредственно tg-связны. Возможны четыре случая такого соединения х и s (рис. 4.5), для каждого из которых указана последовательность преобразований графа, требуемая для передачи прав доступа.

Пусть N>1. Рассмотрим вершину z, находящуюся на tg-пути между х и s и являющуюся смежной с s в графе G₀. Тогда по доказанному для случая N=1 существует последовательность преобразований графов доступов G₀ ├_op1 G₁├_op2 ... ├_opk G_k : (z,y,α) E_k и длина tg-пути между z и х равна N-1, что позволяет применить предположение индукции.

Рис. 4.5. Возможные случаи непосредственной tg-связности х и s

Теорема доказана. •

Для определения истинности предиката "возможен доступ" в произвольном графе необходимо ввести ряд дополнительных понятий.

Определение 2. Островом в произвольном графе доступов Go называется его максимальный tg-связный подграф, состоящий только из вершин субъектов.

Определение 3. Мостом в графе доступов G₀ называется tg-путь, концами которого являются вершины-субъекты; при этом словарная запись tg-пути должна иметь вид , где символ * означает многократное (в том числе нулевое) повторение.

Определение 4. Начальным пролетом моста в графе доступов G₀ называется tg-путь, началом которого является вершина-субъект; при этом

словарная запись tg-пути должна иметь вид .

Определение 5. Конечным пролетом моста в графе доступов G₀ называется tg-путь. началом которого является вершина-субъект; при этом словарная запись tg-пути должна иметь вид .

Теорема 2. Пусть G₀ = (S₀,O₀,E₀)- произвольный граф доступов. Предикат "возможен доступ"(α,х,у,G₀) истинен тогда и только тогда, когда выполняются условия 3, 4 и 5 (рис. 4.6).

α t t

®<—--®<———® Конечный пролет моста

y s

Рис. 4.6. Пример пути передачи объекту х прав доступа α на объект у

Условие 3. Существуют объекты s₁,...,s_m, такие, что (s_i,y,γ_i) E₀ и , i=1,...,m, и α=γ₁, ... ,γ_m.

Условие 4. Существуют вершины-субъекты x'₁,...,x'_m и s'₁,...,s'_m, такие,что:

• х=х'_i или х'_i соединен с х начальным пролетом моста для i=1,....,m;

• s_i =s'_i или s'_i соединен с s_i конечным пролетом моста для i =1,...,m.

Условие 5. Для каждой пары (x'_i,s'_i), i=1,...,m, существуют острова I_i,1,...,I_i,ui, u_{i ≥} 1, такие, что x'_i I_i,1 s'_i I_i,ui, и мосты между островами I_i,j I_i,j+1 j=1,…,u_i-1.

Доказательство. Проведем доказательство теоремы для m=1, так как схему доказательства для этого случая легко продолжить на случай m>1.

При m =1 условия 3, 4, 5 формулируются следующим образом:

Условие 3. s O₀: (s,y,α) E₀.

Условие 4. х',s' S₀:

• х =х' или х' соединен с х начальным пролетом моста;

• s =s' или s' соединен с s конечным пролетом моста.

Условие 5. Существуют острова I₁,...,I_u, u≥1, такие, что x' I₁, s' I_u, и мосты между островами I_jи I_j+1 для j=1,..., u-1.

Необходимость. Пусть истинен предикат "возможен доступ" (α,x,y,G₀). По определению истинности предиката существует последовательность графов доступов G₁=(S₁,O₁,E₁), ..., G_N=(S_N,O_N,E_N), такие, что: G₀ ├_op1 G₁├_op2 ... ├_opN G_N и (x,y,α) E_N при этом N является минимальным, т.е. (х,у,α) Е_N-1. Докажем необходимость условий 3, 4, 5 индукцией по N.

При N=0 очевидно (х,у,α) Е₀. Следовательно, условия 3, 4, 5 выполнены.

Пусть N>0 и утверждение теоремы истинно для всех k<N. Тогда (x,y,α) Eo и дуга (х,у,α) появляется в графе доступов G_N в результате применения к графу G_N-1 некоторого правила op_N. Возможны два случая х S₀ и х S₀.

Если x S₀, то x₁ S_N-1: op_N= grant(α,x₁,x,y). С учетом минимальности N и замечаний, сделанных при доказательстве теоремы 1, можно считать, что x₁ S₀. Следовательно:

1. Истинен предикат "возможен доступ" (g,x₁,x,G₀) с числом преобразований графов, меньшим N. Тогда по предположению индукции выполнены условия 3, 4, 5:

• x₂ O₀ :(x₂,x,g) E₀;

• x' S₀, соединенный с x₂ конечным пролетом моста;

• существуют острова I₁,...,I_t, t≥1 такие, что x₁ I_t; x' I₁, и мосты между островами I_j и I_j+1 для j=1,.... t-1;

2. Истинен предикат "возможен доступ" (α,x₁,y,G₀) с числом преобразований графов, меньшим N. Тогда по предположению индукции выполнены условия 3, 4, 5:

• s O₀: (s,y,α) E₀;

• s' S₀: s=s'или s'соединен с s конечным пролетом моста;

• существуют острова I_t,..., I_u, t-u≥1, такие, что x₁ I_t, s' I_u, и между островами I_j, и I_j+1 для.j=t,.... u-1.

Заметим, что путь, соединяющий вершины х',x₂,х, есть начальный пролет моста. Таким образом, для случая x S₀ условия 3, 4, 5 выполняются, и индуктивный шаг доказан.

Если x So, то п.1 условия 4 теоремы 2 очевидно выполняется. Многократно применяя технику доказательства, использованную выше, можно доказать индуктивный шаг и в данном случае. Достаточность. Условия 3, 4, 5 конструктивны.

По условию 3 существует объект s, который обладает правами α на объект у. По п. 2 условия 4 существует субъект s', который, либо совпадает с s, либо по конечному пролету моста может забрать у субъекта s права α на объект у.

Рис. 4.7. Пример передачи прав доступа по мосту

По теореме 1 права доступа, полученные одним субъектом, принадлежащим острову, могут быть переданы любому другому субъекту острова. По условию 5 между островами существуют мосты, по которым возможна передача прав доступа. В качестве примера на рис.4.7 разобрана последовательность преобразований графа доступов при передаче прав по мосту вида . По п.1 условия 4 теоремы 2 существует субъект х', который или совпадает с х, или, получив права доступа, может передать их х по начальному пролету моста. Теорема доказана.•